[发明专利]威胁驱动的协同采集方法及装置

说明书

本发明实施例提供一种威胁驱动的协同采集方法及装置，所述方法包括：通过第一采集代理采集异常数据并将其转换为安全事件后，发送给第一主节点，第一主节点若查询到数据库中安全事件的数量大于第一阈值，结合实时发生的安全事件，根据第一关联规则和/或第二关联规则构建备选采集项，并根据备选采集项的采集收益因素和采集成本因素，建立多目标优化模型，求解出协同采集结果，并将协同采集结果发送至待采集节点上的采集代理。本发明实施例能够根据威胁的关联性，挖掘安全事件间和节点间的关联规则，在多个节点上自适应地调整协同采集结果，减少采集数据总量，提升数据采集的有效性。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种威胁驱动的协同采集方法及装置。

背景技术

为了监测网络系统的威胁状况，需要在网络系统中部署各类采集代理，以采集安全相关的数据。例如，在单台主机上部署的采集代理，采集主机的系统调用、用户登录记录、系统CPU/内存/网络等资源占用情况、进程运行状态、终端命令行历史记录、系统日志信息等运行状态和日志记录信息；在网关、路由器等网络设备中部署的采集代理，采集TCP连接请求数量、ICMP请求数量、TCP数据内容等流量统计信息和应用层数据；在业务服务器部署的采集代理，采集业务请求数据等业务数据；在数据存储服务器上部署的采集代理，采集磁盘IO、磁盘占用等性能数据。

现有技术中数据采集大多只考虑单节点数据的采集，未考虑节点间的位置、时空等关联关系对安全威胁的影响(如威胁的传播特性、相同类型节点可能遭受同样威胁、历史统计中的节点间遭受同样攻击的规律等)，导致部分隐含的威胁信息缺失，降低了安全威胁分析的精确度，难以掌握全局的威胁态势和可能的威胁传播情况。此外，现有协同采集结果大多采用静态设置、人工调整的方式，无法根据威胁状况在多个节点上自适应地调整协同采集结果，难以有效应对威胁时刻变化的网络环境。

因此，根据全局的威胁状况，构建安全事件间关联规则和节点间关联规则，以筛选有利于发现潜在威胁的采集项，进而在多个节点上自适应地调整协同采集结果，提高数据采集的有效性，成为亟待解决的问题。

发明内容

针对现有技术中的缺陷，本发明实施例提供一种威胁驱动的协同采集方法及装置。

第一方面，本发明实施例提供一种威胁驱动的协同采集方法，包括：

第一采集代理采集异常数据，并将所述异常数据转换为安全事件后，将所述安全事件发送给第一主节点；

第一主节点将安全事件存储至数据库中，并定时查询数据库中安全事件的数量；若所述安全事件的数量大于第一阈值，根据关联规则算法，获取第一关联规则和/或第二关联规则；其中，所述第一关联规则指单个节点上发生的多个安全事件间的关联规则，所述第二关联规则指可能发生相同安全事件的多个节点间的关联规则；

结合实时发生的安全事件，第一主节点根据第一关联规则和/或第二关联规则，构建备选采集项集合；

第一主节点根据所述备选采集项的采集收益因素和采集成本因素，建立多目标优化模型，求解出协同采集结果，并将所述协同采集结果发送至待采集节点上的采集代理；其中，所述待采集节点由协同采集结果确定，所述采集收益因素包括节点的相似性、数据有效性和威胁严重程度中的至少一种；所述采集成本因素包括采集占用资源、数据隐私泄露、协同采集结果变动和虚假预测风险中的至少一种。

优选地，所述若所述安全事件的数量大于第一阈值，根据关联规则算法，获取第一关联规则和/或第二关联规则，具体包括：

若安全事件的数量大于第一阈值，则基于单个节点同一时段发生的安全事件，确定第一安全事件集合，基于多个时段的第一个安全事件集合，确定第二安全事件集合，针对第二安全事件集合采用关联规则算法，得到第一关联规则；

基于同一时段发生相同安全事件的节点，确定第一节点集合，基于多个时段的第一节点集合，确定第二节点集合，针对第二节点集合采用关联规则算法，得到第二关联规则。